Recommended
Recommended
More Related Content
What's hot
What's hot (17)
Similar to Ростелеком. Тимур Ибрагимов. "Развитие сервисов по защите от DDoS-атак: взгляд со стороны оператора связи"
Similar to Ростелеком. Тимур Ибрагимов. "Развитие сервисов по защите от DDoS-атак: взгляд со стороны оператора связи" (20)
More from Expolink
More from Expolink (20)
Ростелеком. Тимур Ибрагимов. "Развитие сервисов по защите от DDoS-атак: взгляд со стороны оператора связи"
- 1. «РАЗВИТИЕ СЕРВИСОВ ПО ЗАЩИТЕ DDOS- :ОТ АТАК ВЗГЛЯД СО СТОРОНЫ »ОПЕРАТОРА СВЯЗИ #CODEIB
- 2. РОСТЕЛЕКОМ В ЦИФРАХ 2 28 000 000 АБОНЕНТОВ ФИКСИРОВАННОЙ ГОЛОСОВОЙ СВЯЗИ 11 200 000 АБОНЕНТОВ ШИРОКОПОЛОСНОГО ДОСТУПА В ИНТЕРНЕТ 8 200 000 АБОНЕНТОВ ПЛАТНОГО ТЕЛЕВИДЕНИЯ 80 РЕГИОНАЛЬНЫХ ФИЛИАЛОВ 2 500 ТОЧЕК ПРОДАЖ И ОБСЛУЖИВАНИЯ 160 000 СОТРУДНИКОВ БОЛЬШЕ 50% АКЦИЙ КОМПАНИИ КОНТРОЛИРУЕТ ГОСУДАРСТВО ОПОРНЫЙ УЗЕЛ РЕГИОНАЛЬНЫЙ УЗЕЛ ДАТА-ЦЕНТР Nx40GГбит/с Nx10 Гбит/с #CODEIB
- 3. КАК ПРОИСХОДЯТ DDoS- ?АТАКИ 3 Botnet master инициирует команду атаковать #CODEIB
- 4. 4 КАК УСТРОЕНА AMPLIFICATION/REFLECTION ?АТАКА NTP(для примера) СЕРВЕРЫ, МАРШРУТИЗАТОРЫ, CPE 172.19.234.6 #CODEIB
- 5. 5 КАК УСТРОЕНА AMPLIFICATION/REFLECTION ?АТАКА NTP серверы 172.19.234.6 UDP/80 – UDP/123, ~50 БАЙТ/ПАКЕТ ИСТОЧНИК (СПУФИНГ): 172.19.234.6 НАЗНАЧЕНИЕ: РЯД СЕРВЕРОВ NTP NTP ЗАПРОС: MONLIST #CODEIB
- 6. 6 КАК УСТРОЕНА AMPLIFICATION/REFLECTION ?АТАКА NTP серверы 172.19.234.6 UDP/123 – UDP/80, ~468 БАЙТ ИСТОЧНИК: NTP СЕРВЕР ПОЛУЧАТЕЛЬ: 172.19.234.6 ОТВЕТ: ДАННЫЕ О 600 ХОСТАХ #CODEIB
- 7. ВИДЫ DDoS- АТАК 7 DDoS НА TCP-СТЕК/ТАБЛИЦУ СЕССИЙ • Атака, направленная на устройства связи с контролем состояний (load balancers, firewalls, application servers) • Нацелена на традиционную структуру сетевой безопасности и на сервера DDoS НА КАНАЛ СВЯЗИ • Переполняет каналы связи: • Во внутренних сетях цели • Между сетями провайдера и атакуемой сетью DDoS НА ПРИЛОЖЕНИЯ • Малозаметные атаки на приложения – HTTP/DNS/SIP • Нацелены на определенные уязвимости приложений #CODEIB
- 8. 8 ТИПОВОЕ ПОДКЛЮЧЕНИЕ КОМПАНИЙ К ИНТЕРНЕТУ • >= 50 Mbps • <= 1 Gbps • Control Plane • Performance • Statefull • App Inspection • WWW • MAIL • DNS • VOIP • VPN • Доступ в Интернет #CODEIB
- 9. 9 ЗАЩИТА НА СТОРОНЕ КЛИЕНТА ( )БЕЗ УЧАСТИЯ ОПЕРАТОРА #CODEIB
- 10. 10 • В СЕТЬ КЛИЕНТА НАЧИНАЕТ ПОСТУПАТЬ АНОМАЛЬНЫЙ ТРАФИК АТАКИ • АКТИВИРУЕТСЯ СИСТЕМА ПРОТИВОДЕЙСТВИЯ АТАКЕ, ТРАФИК НАПРАВЛЯЕТСЯ НА ОЧИСТКУ • ОЧИЩЕННЫЙ ТРАФИК ПЕРЕДАЁТСЯ В СЕТЬ КЛИЕНТА СХЕМА СИСТЕМЫ АНАЛИЗА ТРАФИКА DDoSИ ЗАЩИТЫ ОТ АТАК #CODEIB
- 11. DDOS-МАКСИМАЛЬНЫЙ ОБЪЕМ АТАКИ 2014 (В ГОДУ ОТРАЖЕНИЕ КОМПЛЕКСОМ « »КОМПАНИИ РОСТЕЛЕКОМА 11 #CODEIB
- 12. 12 DDOS-МАКСИМАЛЬНЫЙ ОБЪЕМ АТАКИ 2016 (В ГОДУ ОТРАЖЕНИЕ КОМПЛЕКСОМ « »КОМПАНИИ РОСТЕЛЕКОМА #CODEIB
- 13. Крупнейшая DDoS атака *Источник: публичный блог Брайана Кребса rebsonsecurity.com Атака с помощью botnet сетей размещенных в сегменте IoT Рекордная мощность атаки – 665 Gbps Продолжительность атаки – более 10 дней Возраст злоумышленников 18 лет Атака DNS Amplification 13#CODEIB
- 14. 14 КЛИЕНТСКИЙ ПОРТАЛ Ключевыми функциями портала являются оповещение клиента о начале и окончании атак «ЗЕЛЕНОЕ» – небольшое превышение трафика, малая вероятность наличия атаки «ЖЕЛТОЕ» – умеренное превышение, вероятность наличия атаки средняя «КРАСНОЕ» – критическое превышение, совершается атака ПРИ ВОЗНИКНОВЕНИИ АТАКИ ПРЕДУСМОТРЕНЫ ТРИ ТИПА ОПОВЕЩЕНИЙ: #CODEIB
- 15. ПРЕИМУЩЕСТВА ПАО « »РОСТЕЛЕКОМ 16 КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW Позволяет отражать атаки емкостью 160 Гбит/с до уровня приложений Позволяет отражать атаки емкостью более 6 Тбит/с за счет отражения атаки на пограничных маршрутизаторах 50 инженеров обученных Arbor Peakflow Опыт отражения атак пиковой производительностью 214 Гбит/с Ежедневная фильтрация более 15 инцидентов емкостью более 10 Гбит/c Опыт успешной защиты информационных ресурсов Олимпийских Игр Сочи 2014 #CODEIB
Editor's Notes
- Типовое подключение банка к ISP обычно включает в себя: Каналы от нескольких независимых операторов связи Ширина каждого канала от 50 Мбит/с до 1Гбит/с Наличие собственных системы безопасности: Firewall/IPS/WAF Смешанный набор сетевых приложений доступных всему Интернет Доступ сотрудников в интернет осуществляется по этим же каналам Возможные вектора DDoS-атак: Канал Вычислительные ресурсы маршрутизатора и уровень управления маршрутизатора Statefull устройства безопасности Вычислительные ресурсы серверов и приложений Блокировка доступа в интернет для пользователей
- Для борьбы с DDoS-атаками Клиенты зачастую устанавливают системы фильтрации трафика у себя на площадке, тем самым они устраняют проблемы связанные с доступность своих ресурсов, НО только в рамках трафика, который не превышает полосу пропускания канала или производительность antiddos устройства. Отсюда напрашивается очевидный для всех вывод, что бороться ТОЛЬКО на стороне клиента как минимум не эффективно. И для того, чтобы обеспечить полноценную защиту необходимо обеспечивать защиту совместно с оператором связи или специализированных сервисов, на которые перенаправляется трафик Клиента.